Board logo

标题: [其他] 疑似京东12GB用户数据遭泄露,身份证、密码等信息无一逃脱 [打印本页]

作者: bronyraur    时间: 2016-12-10 23:54     标题: 疑似京东12GB用户数据遭泄露,身份证、密码等信息无一逃脱

posted by wap, platform: Android
http://www.ithome.com/html/it/279535.htm
疑似京东12GB用户数据遭泄露,身份证、密码等信息无一逃脱

文转载自微信公众号:一本财经

最近,黑市上出现重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。



而黑市买卖双方皆称,这些数据来自京东。

京东方对此表示,正在紧急核实数据真伪。

01、数据之迷

最近,因为这12G的数据包,黑产再次被搅动。

一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等。







▲外泄数据部分截图



▲数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等

据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。

“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。

业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。

第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。

值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。

业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。

可瞬间破解的账号,一般只占3-5%。

记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。



▲姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)

登陆之后,用户在京东上的订单、地址、交易等信息都一览无遗。

甚至一本财经记者从数据库中搜索自己名字,发现信息也早已外泄。

“黑客拿到这些数据,还可进行撞库操作”,业内人士称。

所谓“撞库”,是一个黑产的专业术语。

就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。

这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。

伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。

12月9日,一本财经向京东核实相关情况。截止发稿前,京东给出的最新回应称,目前正在找技术部门紧急核实,暂时还无法确认数据真伪。

02、绝非孤案

实际上,京东已不是第一次被曝数据外泄。

2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。

直到一年后,京东才公布调查结果,称是因为出现“内鬼”。

所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。

而电商平台,一直是数据泄漏的重灾区之一。

2014年年初,支付宝被爆20G用户资料泄漏。

后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。

这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。

李明和两位同伙,将用户资料按条数出售,价格不等,价值较高的,一条可卖数十元;也有人以500元的代价,购买了3万条用户信息。

这个故事中更有意思的部分是,购买这些数据的买家,都是“友商”,比如其他电商平台。

除了支付宝,早在2012年,1号店被曝网上商城员工与离职、外部人员内外勾结,90万用户资料泄露,价格只需500元。

可见“内鬼”是电商信息泄漏的重要原因,除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。

2014年,是电商平台安全风险集中爆发的一年。

3月,当当网113位用户账户余额被盗用。

黑客先是盗取用户登录信息,然后修改用户绑定手机、邮箱地址等信息,最后购买电子产品等贵重商品。

当当网在舆论重压下,宣布给予用户补偿。

同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号和银行卡用于支付的6位Bin码等重要信息泄露。

而携程随后发布声明表示,确认共93人账户存安全风险,已通知相关用户更换信用卡。

年底,中国铁路购票网站12306的6个子网站存在高危漏洞,致数十万条用户数据外泄,包括用户账号、明文密码、身份证、邮箱等敏感信息在内的数据被贩售。12306宣布悬赏、号召网友查找漏洞。

不论是内鬼作祟还是黑客攻击,无非都是利益驱动。

03、数据之痛

地下的庞大数据产业链,已然形成。

网民被泄露的信息主要分为两类:个人信息包括姓名、身份证号、手机号码、家庭住址、工作单位、邮箱账号和密码、网购信息、购车、购房情况、医疗信息等各类信息;

网上活动信息包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等,涵盖范围非常广泛。

而地下的数据库,已可以从200多个维度了解一个人——甚至能比你自己更了解你自己。

这些泄露的数据,最终以各种方式,成为不法分子获利的工具。

今年,人民日报发文称,有78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过;而有82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。

黑产之手,已延伸到普通百姓生活,到了触手可及的地步。

仅在2015年一年,中国网民因信息泄露问题,导致的损失是805亿人民币——这只是对外公开的可查数据。

实际上,因为大数据的崛起,各家对数据的渴求度极高,加速了黑产数据的流通。

一本财经在《征信之乱》中曾经调查黑产链条,从事数据买卖中间商,多达几万人,数据的每一次流转,价值上万到百万不等——地下黑市,恐怕早已形成万亿级别市场。

用户的隐私和信息,就如此公然成为贩卖品,在黑市上肆无忌惮地流动。

数据之痛,已让所有人感同身受。

然而,这个问题,却不是做好安全工作就能解决的。

除了技术,还得防住人性的贪婪。


我也是转载的,大家看看可信不。
最新
12月10日晚间,京东被曝数据外泄。据称,此次有一个12G的数据包外泄,数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。京东在12月11日凌晨发表声明,称该数据源于2013年Struts 2的安全漏洞,已经完成修复。京东在声明中表示,在Struts 2的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

[ 本帖最后由 bronyraur 于 2016-12-11 09:58 编辑 ]
作者: 分分钟叫你做人    时间: 2016-12-11 00:03

京东存储的这些数据不加密???
你获得了数据又如何,全部加密过,你怎么破译?怎么把数据翻译成真实的数据?
作者: jjx01    时间: 2016-12-11 00:08

如果用MD5加密密码的话是很容易破解的,10年前就有人算好了多少位以内的数字字母组合的密码转换成md5放网站上供人逆查询
作者: 0瞎子0    时间: 2016-12-11 00:25

posted by wap, platform: 小米 4
用户数据用md5加密?脑子有病吗
作者: 分分钟叫你做人    时间: 2016-12-11 00:27

MD5????呵呵,除非京东是个傻逼,但凡世界上已经被破解过的加密方式,京东肯定不会用!
这不光是泄露用户数据的问题,加密一旦被破,整个网站的数据,都可能被破坏,等于京东就会被灭亡!
作者: 分分钟叫你做人    时间: 2016-12-11 00:28

估计有人造谣编造假用户资料,或者是京东内部摘抄用户资料整理成册后,卖钱
作者: 共产党员    时间: 2016-12-11 00:30

posted by wap, platform: iPhone
京东需要提供身份证?都忘了
作者: jjx01    时间: 2016-12-11 00:30

关键是这种泄密如果是真的,一般会有网站提供搜索的数据库的
当年天涯用户数据泄露,我就能在某网站上打入用户名直接搜到我的密码
作者: bzjian    时间: 2016-12-11 01:44

网易上次那个库也能准确查到我的密码,果断改了。。。。
作者: 脆骨    时间: 2016-12-11 06:15

posted by wap, platform: iPhone
jd去年泄漏我购物流水,那诈骗电话我录下来了丢网上了。
作者: tobewind    时间: 2016-12-11 06:20

posted by wap, platform: Android
引用:
原帖由 @分分钟叫你做人  于 2016-12-11 00:27 发表
MD5????呵呵,除非京东是个傻逼,但凡世界上已经被破解过的加密方式,京东肯定不会用!
这不光是泄露用户数据的问题,加密一旦被破,整个网站的数据,都可能被破坏,等于京东就会被灭亡!
"但凡世界上已经被破解过的加密方式,京东肯定不会用!"

分片这句话说出来还是让我震惊的,小米员工也不要这样随便跑火车吧?
作者: kiwin    时间: 2016-12-11 07:13

posted by wap, platform: iPhone
我上个月被京东盗刷了600应该跟这个有关
作者: zuccbtpig    时间: 2016-12-11 07:18

posted by wap, platform: Galaxy Note 5
有没有网站可以查自己有没有中招?
作者: Kuzuryuusen    时间: 2016-12-11 07:29

posted by wap
果断去findmima查结果。。。
作者: cosiman    时间: 2016-12-11 18:38

posted by wap, platform: Chrome
findmima只剩下QQ相关和主机状态的页面可以打开
作者: overmind911    时间: 2016-12-12 09:26

撞库麽正常,反正花不了我钱,还需要手机验证码。




欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/) Powered by Discuz! 6.0.0